我已經使用進行了滲透測試 並用它從Active Directory(以下簡稱AD)中檢索使用者資訊。 當時,我的重點是收集安全群組成員信息,然後使用該資訊來導航網路。 無論哪種方式,AD 都包含敏感的員工數據,其中一些數據實際上不應該被組織中的每個人存取。 事實上,在 Windows 檔案系統中也有一個等價的 ,內部和外部攻擊者也可以使用它。
但在我們討論隱私問題以及如何解決這些問題之前,讓我們先來看看 AD 中儲存的資料。
Active Directory 是企業 Facebook
但在這種情況下,你已經和大家交上朋友了! 您可能不知道同事最喜歡的電影、書籍或餐館,但 AD 包含敏感的聯絡資訊。
數據和其他領域可以被駭客甚至沒有特殊技術技能的內部人員使用。
系統管理員當然熟悉下面的螢幕截圖。 這是 Active Directory 使用者和電腦 (ADUC) 介面,可在其中設定和編輯使用者資訊並將使用者指派到適當的群組。
AD 包含員工姓名、地址和電話號碼字段,因此它類似於電話簿。 但還有更多! 其他選項卡還包括電子郵件和網址、直線經理和註釋。
組織中的每個人是否都需要看到這些訊息,尤其是在一個時代 ,當每個新細節都使搜尋更多資訊變得更加容易?
當然不是! 當公司高階主管的資料可供所有員工使用時,問題就變得更加複雜。
適合所有人的 PowerView
這就是 PowerView 發揮作用的地方。 它為存取 AD 的底層(且令人困惑的)Win32 函數提供了一個非常用戶友好的 PowerShell 介面。 簡而言之:
這使得檢索 AD 欄位就像鍵入非常短的 cmdlet 一樣簡單。
我們以收集 Cruella Deville 的一名員工的資訊為例,她是公司的領導者之一。 為此,請使用 PowerView get-NetUser cmdlet:
安裝 PowerView 不是一個嚴重的問題 - 請自行查看頁面 。 更重要的是,您不需要提升權限即可執行許多 PowerView 命令,例如 get-NetUser。 這樣,一個積極主動但不太懂技術的員工就可以毫不費力地開始修改 AD。
從上面的截圖可以看出,內部人士可以很快了解很多關於Cruella的資訊。 您是否也注意到,「資訊」欄位顯示了有關使用者的個人習慣和密碼的資訊?
這不是理論上的可能性。 從 我了解到他們掃描 AD 來查找明文密碼,不幸的是,這些嘗試通常都會成功。 他們知道公司對 AD 中的資訊很粗心,而且他們往往不知道下一個主題:AD 權限。
Active Directory 有自己的 ACL
AD 使用者和電腦介面可讓您設定 AD 物件的權限。 AD 具有 ACL,管理員可以透過它們授予或拒絕存取權限。 您需要點擊 ADUC 視圖選單中的“進階”,然後當您開啟使用者時,您將看到設定 ACL 的“安全性”標籤。
在我的 Cruella 場景中,我不希望所有經過身份驗證的用戶都能看到她的個人信息,因此我拒絕了他們的讀取訪問權限:
現在,如果普通使用者在 PowerView 中嘗試 Get-NetUser 將看到此內容:
我設法隱藏了明顯有用的信息,以免被窺探。 為了確保相關用戶可以存取這些數據,我創建了另一個 ACL,以允許 VIP 群組的成員(Cruella 和她的其他高級同事)存取這些敏感數據。 換句話說,我基於角色模型實現了 AD 權限,這使得大多數員工(包括內部人員)無法存取敏感資料。
但是,您可以透過在 AD 中的群組物件上對應設定 ACL,使群組成員資格對使用者不可見。 這將有助於隱私和安全。
在他的 我展示瞭如何透過使用 PowerViews Get-NetGroupMember 檢查群組成員資格來導航系統。 在我的腳本中,我限制了對特定群組中成員身分的讀取存取權限。 可以看到更改前後運行命令的結果:
我能夠隱藏 Cruella 和 Monty Burns 在 VIP 群組中的成員身份,從而使駭客和內部人員很難偵查基礎設施。
這篇文章的目的是激勵您更仔細地了解這些領域
AD及相關權限。 AD 是一個很好的資源,但想想你會如何
想要分享機密資訊和個人數據,尤其是
當涉及到您組織的高級官員時。
來源: www.habr.com